Authentifizierung

    Sicherheit in Windows 10: 2-Faktor-Authentifizierung, Data Loss Prevention, Per-App-VPN

    Die Preview von Windows 10 enthält bereits einen Service für das neue Anmeldeverfahren.Während sich beim Erscheinen von Windows 10 Preview die Aufmerksamkeit hauptsächlich auf GUI-Änderungen wie das Startmenü oder Store Apps im Fenster konzentrierte, sind die neuen Sicherheitsfunktionen weniger augenfällig. Sie machen das Betriebssystem resistenter gegen Attacken wie Phishing oder Pass the Hash. Zudem soll die Verschlüsselung von Firmendaten verhindern, dass sie unerlaubt verbreitet werden.

    Fehlgeschlagene Anmeldeversuche am Active Directory überwachen mit PowerShell

    An Windows 8 anmeldenWindows Server 2008 führte ein Feature ein, das fehl­geschlagene Logons im Active Direc­tory speichert, um ver­däch­tigen Aktivi­täten auf die Spur zu kommen. Admini­stratoren können diese Daten für eigene Reports heran­ziehen oder sie den Benutzern bei der Anmeldung präsentieren.

    Kontosperrung über Gruppenrichtlinien konfigurieren

    Account LockoutDie Kontosperrung ist eine etablierte Methode, um das (automatisierte) Erraten von Passwörtern zu verhindern. In zentral verwalteten Windows-Umgebungen lassen sich die insgesamt drei Einstellungen für dieses Feature mit Hilfe von GPOs steuern.

    Best Practices für die Kontosperrung (Account Lockout)

    Lokal oder an einer Domäne anmelden unter Windows 7Um das Erraten von Passwörtern zu erschweren, sieht Windows die Sperrung von Konten nach einer gewissen Zahl von ungültigen Anmelde­versuchen vor. Dieser Schutz lässt sich indes für DoS-Attacken missbrauchen. Wie sehen also die idealen Einstellungen für die Kontosperrung aus, um Kennwörter zu schützen und gleichzeitig die DoS-Gefahr zu minimieren?

    Mail-Passwörter wiederherstellen mit Mail Password Decryptor

    Praktisch alle modernen Mail-Clients erlauben das Speichern von Passwörtern, um das erneute Eintippen bei jedem Start zu vermeiden. Der Preis für diesen Komfort besteht allerdings oft darin, dass man die Kennwörter leicht vergisst. Braucht man sie für ein anderes Programm oder auf einem neuen Rechner, dann kann der kostenlose Mail Password Decryptor sie wiederherstellen.

    Passwort ändern über Remotedesktop und RD Web Access

    Kennwort ändern in RemotedesktopWenn das Kennwort für Remotedesktop-Benutzer abgelaufen ist und sie dieses nicht über den lokalen Rechner ändern können, dann bietet ihnen der Terminal-Server standardmäßig dafür keine Möglichkeit. Eine solche lässt sich am besten über RD Web Access einrichten, eine entsprechende Konfiguration von RDP verlangt dagegen Abstriche bei der Sicherheit.

    root-Passwort für vCenter Server Appliance 5.5 zurücksetzen

    vCenter Server ApplianceGrundsätzlich kann man ein Passwort für jedes System vergessen und sich auf diese Weise aussperren. Beim vCenter Server Appliance (vCSA) liegt es aber meist nicht am schlechten Gedächtnis, wenn man sich als root nicht mehr anmelden kann. Standardmäßig läuft das Passwort nämlich nach 90 Tagen ab und damit ist das Konto blockiert.

    Lock Screen und Anmeldebildschirm mit GPOs deaktivieren

    Sperrbildschirm von Windows 8.xNach dem Booten oder dem Aufwachen aus dem Standby zeigt Windows 8.x den neuen Sperr­bildschirm an. Wenn man diesen geöffnet hat, dann kann man sich anmelden oder den PC ent­sperren. Wem das zu umständlich ist oder wer keine Sperre durch den Anmelde­bildschirm möch­te, der kann diese Hürden über GPOs entfernen.

    Zwei-Faktor-Authentifizierung für ein Microsoft-Konto einrichten

    Zwei-Faktor-AuthentifizierungSeit rund einem Jahr kann man sich am Microsoft-Konto nicht nur über Benutzername und Passwort, sondern zusätzlich über eine PIN anmelden. Die Zwei-Faktor-Authentifizierung ("Prüfung in zwei Schritten") unterstützt mehrere Wege, um den benötigten Code zuzustellen, und bietet auch eine Lösung für Programme, die dieses Verfahren nicht beherrschen.

    Single-Sign-on (SSO) für Terminal-Server 2012 (R2) konfigurieren

    Sign-Sign-on über den RDP-ClientAuch wenn man von einem PC, der Mitglied in einer Windows-Domäne ist, auf einen RD Session Host zugreifen möchte, dann muss man stan­dard­mäßig seine Anmeldedaten erneut eingeben. Dieses Verhalten lässt sich mit RDP-8-Clients und Windows Server 2012 (R2) wesentlich einfacher ändern als in der Vergangenheit.

    Seiten